Académique Documents
Professionnel Documents
Culture Documents
1
CHAPITRE 1 : EVALUATION DE L’IMPORTANCE DES INFORMATIONS POUR MIEUX LES
PROTEGER
SITUATION-PROBLEME : "Ce n’était qu’un fichier parmi tant d’autres mais mises à disposition d’un
concurrent, les données sont devenues des informations stratégiques."
Tous les éléments d’un système d’information n’ont pas besoin d’être sécurisés de la même manière.
Protéger l’ensemble de son système d’information à un même niveau de sécurité se révèlerait d’ailleurs
extrêmement coûteux. Certaines informations stratégiques nécessitent une protection importante mais elles ne
représentent pas la majorité des données d’une entreprise. C’est pourquoi la Sécurité d’un Système
d’Information (SSI) implique une réflexion au préalable sur la valeur de l’information avant de mettre en place
des outils de protection. Le but est de trouver le meilleur compromis entre les moyens que l’on est prêt à
consacrer pour se protéger et la volonté de parer les menaces identifiées. Ce chapitre vous explique comment
hiérarchiser les données à protéger en fonction de leur importance stratégique et comment mettre en place une
politique de sécurité adéquate. Les points clés à retenir sont :
Réaliser un état des lieux afin d’avoir une vision d’ensemble de son système d’information et
élaborer une classification des données.
Formaliser et faire connaître les règles générales de sécurité à tous les acteurs du système
d’information.
Etre sélectif : il est impossible de protéger toute l’information à un fort niveau de sécurité.
1.1. Identifier ce qui doit être protégé.
La première étape est de réaliser un état des lieux afin d’avoir une vision d’ensemble de son système
d’information. Il n’est pas toujours facile pour un dirigeant de mesurer l’étendue de l’information détenue
par son entreprise car elle n’est généralement pas stockée dans un lieu unique. Dans un premier temps,
commencez par recenser :
Les ressources internes de votre entreprise : messagerie électronique (emails, contacts, agenda),
données stratégiques, fichier clients, données techniques…
Les ressources de l’entreprise exploitées ou détenues par un prestataire extérieur ou un tiers.
Les ressources appartenant à un prestataire extérieur exploitées par lui au profit de votre entreprise.
1.2. Hiérarchiser la valeur des informations
Pour définir le degré de valeur ajoutée de chaque type de données, hiérarchisez la valeur des
informations selon l’importance de leur disponibilité et de leur intégrité. Attribuez ensuite des droits d’accès
aux documents à l’aide de profils utilisateurs selon leur degré de responsabilité dans l’entreprise. Il est
préférable de désigner une personne responsable pour ce type d’activité.
Pour vous aider dans la démarche de classification de vos données, vous pouvez vous inspirer librement du
tableau ci-dessous dont la légende est la suivante :
2
Information sensible : information susceptible de causer des préjudices à l’entreprise si elle est
révélée à des personnes mal intentionnées pouvant entraîner la perte d’un avantage compétitif ou une
dégradation du niveau de sécurité.
Information stratégique : information essentielle et critique contenant la valeur ajoutée de
l’entreprise (savoir-faire, procédures, méthodes de fabrication…).
Tableau 1.1. Tableau de classification des informations de l’entreprise selon leur degré
d’importance
Information Information Information Accès autorisé
divulgable sensible1 stratégique2 pour les
(faible valeur (moyenne (forte valeur personnes
ajoutée) valeur ajoutée) ajoutée)
Contacts et dossiers du personnel
Factures clients
Factures fournisseurs
Listes fournisseurs
Données comptables
Relevés de compte
Propositions commerciales
Contrats commerciaux
Contrats de travail
Données de production
Grille tarifaire des produits
Procédés de fabrication
Veille concurrentielle
Autre
3
Il est courant de dire qu’en matière de SSI, 80% de l’effort en matière de sécurité (budget, ressources)
doit être consacré à sécuriser les 20 % de données qui contiennent 80% de l’information stratégique de
l’entreprise.
1.3. Evaluation des risques
La phase d’évaluation des risques internes et externes permet d’identifier les différentes failles,
d’estimer leur probabilité et d’étudier leur impact en estimant le coût des dommages qu’elles causeraient. Une
menace est une action susceptible de nuire et de causer des dommages à un système d’information ou à une
entreprise. Elle peut être d’origine humaine (maladresse, attaque) ou technique (panne) et être interne ou
externe à l’entreprise. Le CLUSIF (Club de la Sécurité de l’Information Français) a établi une grille des
menaces types et de leurs conséquences dans un document intitulé Plan de continuité d’activité – Stratégie et
solutions de secours du SI et publié en 2003. Pour chaque menace, il convient ensuite d’estimer la probabilité
qu’elle se concrétise. L’analyse d’impact consiste à mesurer les conséquences d’un risque qui se matérialise.
A titre d’exemple, l’Afnor a établi un système de classification des risques liés aux informations (Tableau ci-
après).
1.2. Tableau de classification des risques selon le degré d’importance des informations (Afnor)
4
Vous pouvez également vous aider de méthodes d’analyse de risques approfondies et reconnues telles
que : EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) ; MEHARI (Méthode
Harmonisée d’Analyse de Risques) qui seront abordée dans la partie 2.
1.4. Bâtir une politique de sécurité adéquate
1.4.1. Les grands principes
La SSI repose sur trois finalités :
L’intégrité du SI : s’assurer de son bon fonctionnement, de l’exactitude des données et de leur
intégrité.
La confidentialité SI : s’assurer que seules les personnes autorisées ont accès aux données.
La disponibilité du SI : s’assurer que les différentes ressources (ordinateurs, réseaux, périphériques,
applications) sont accessibles au moment voulu par les personnes autorisées.
En fonction de ces objectifs, la politique de sécurité de l’entreprise va se décliner de trois manières :
Stratégique : définition des objectifs globaux de sécurité, définition qui découle du travail d’état des
lieux, de hiérarchisation des données selon leur importance stratégique et d’analyse des risques.
Organisationnel : plan de secours, charte utilisateur, définition du rôle de chaque membre du
personnel, sessions de sensibilisation des collaborateurs à la SSI.
Technique : mise en place des moyens de protection (antivirus, mot de passe…).
1.4.2. Sécurisation de son SI
Il s’agit de mettre en place des mesures préventives et curatives. Certaines reposent sur des outils et
d’autres sur le comportement des utilisateurs. Mais avant de mettre en place ces mesures, l’entreprise doit
d’abord statuer sur 2 questions :
Quelle est la quantité maximale d’informations qui peut être perdue sans compromettre l’activité
de l’entreprise ?
Quel est le délai maximum de reprise d’activité acceptable sans menacer le fonctionnement de la
société ?
La réponse à ces questions va permettre d’évaluer le niveau de sécurité que l’entreprise devra mettre
en place et de déterminer les informations qui devront être protégées et rétablies en priorité en cas de sinistre
pour générer un minimum de pertes, y compris financières.
Les mesures préventives : Elles permettent d’éviter une interruption de l’activité. Voici les
principaux points de vigilance :
Plan de sauvegarde : il s’agit de déterminer la fréquence et le type de sauvegarde (complète, différentielle,
incrémentale) pour chaque catégorie d’information (basique, sensible, stratégique).
Sécurité logique : il convient de mettre en place des outils de protection de base (anti-virus, firewall, anti-
spam) et de les mettre à jour. A cela peuvent s’ajouter des contrôles d’accès aux données par mot de passe
ou certificat électronique.
5
Sécurité physique : il s’agit de la sécurité des locaux. Une attention particulière doit être portée à la
sécurité du serveur de l’entreprise.
Le facteur humain : la sécurité des systèmes d’information n’est pas qu’une affaire d’outils mais dépend
aussi et surtout d’une information régulière aux utilisateurs de l’informatique dans l’entreprise. Des règles
élémentaires (comme ne pas noter son mot de passe sur un papier) doivent être ainsi rappelées.
Mesures curatives
Ces mesures sont nécessaires car aucune mesure préventive n’est efficace à 100%. Elles sont mises en
œuvre lorsqu’un sinistre survient :
Restauration des dernières sauvegardes
Redémarrage des applications
Redémarrage des machines (ordinateurs…)
6
CHAPITRE 2 : OUTILS DE PROTECTION MINIMUM D’UN SI
SITUATION-PROBLEME : Des pirates informatiques entraient régulièrement dans notre système
d’information via Internet sans que nous nous en apercevions. Jusqu’au jour où certaines de nos
informations stratégiques se sont retrouvées chez notre principal concurrent.
Une entreprise est exposée quotidiennement aux risques d’attaques informatiques. Il est donc
primordial de mettre en œuvre de façon préventive des moyens de protection minimaux adaptés. En matière
de sécurité logique, une PME a besoin principalement d’outils permettant de préserver des données
importantes et de pouvoir échanger ou faire circuler des informations sensibles. Ce chapitre vous informera
sur les antivirus, les pare-feu ainsi que l’usage du certificat numérique. Les points clés à retenir :
Choisir des produits de sécurité adaptés à vos besoins.
Utiliser plusieurs dispositifs de sécurité informatique complémentaires.
Effectuer régulièrement des mises à jour des anti-virus et appliquer les correctifs de sécurité et les mises
à jour des systèmes d’exploitation.
Ne pas oublier qu’aucun dispositif de sécurité informatique n’est fiable à 100 %.
2.1. Les outils de protection de base
Il est impératif qu’au sein de votre entreprise, chaque poste de travail et/ou le serveur soit protégé par
un antivirus et un pare-feu (firewall) mis à jour.
a. L’antivirus
Il s’agit d’un logiciel permettant de protéger son poste informatique ou son système contre les
infections informatiques (virus, vers ou spyware). Ce logiciel surveille et analyse régulièrement l’ensemble
des fichiers puis filtre les contenus suspects. Une fois l’anomalie détectée, il vous en informe et la détruit. La
plupart des logiciels antivirus intègrent également une protection antispam qui permet d’analyser l’ensemble
des messages entrants avant qu’ils ne soient délivrés au destinataire.
L’antivirus fonctionne à partir d’une base d’empreintes de virus connus ou d’un système d’intelligence
artificielle détectant les anomalies. C’est pourquoi, pour une efficacité optimale, il est indispensable de le
mettre à jour régulièrement (aussi bien la base d’empreintes que l’application elle-même). Deux
fonctionnements sont envisageables pour l’antivirus :
La réparation des anomalies du ou des fichiers infectés. Dans ce cas, les données du fichier sont
récupérées et le virus détruit.
La mise en quarantaine du fichier infecté pour l’isoler de l’environnement informatique et en limiter
sa propagation et ses effets. L’utilisateur peut accéder aux fichiers mis en quarantaine via l’interface
graphique de l’antivirus d’où il peut les supprimer ou les restaurer à leurs emplacements d’origine.
La quarantaine peut malheureusement isoler des fichiers essentiels au fonctionnement du système et
altérer ce dernier.
7
b. Le pare-feu
Un pare-feu ou firewall (en anglais) désigne un dispositif capable de bloquer les virus et d’éviter la
fuite d’informations vers l’extérieur. Lorsque des données sont transmises entre ordinateurs via Internet, les
informations entrent et sortent par des portes virtuelles appelées « ports ». Chaque ordinateur dispose de 65
536 ports. Ces « entrées » sont autant de possibilités de pénétrer dans le système d’information de l’entreprise.
Si bien qu’en l’absence de pare-feu, des pirates informatiques ont tout loisir d’infecter ou de détruire les
données d’un ordinateur (virus, vers) ou de récupérer des informations via un cheval de Troie.
Un pare-feu joue un rôle de douanier vis-à-vis des ports. Il contrôle les flux de données entrant et
sortant de l’ordinateur ou du réseau de l’entreprise. Il est très fréquent qu’un logiciel professionnel ait besoin
d’accéder à un serveur extérieur à l’entreprise pour effectuer des mises à jour. Il lui faut alors communiquer
par un canal spécifique (port de communication), à la fois pour émettre des données (port sortant) mais aussi
pour en recevoir (port entrant). Les règles de filtrages doivent donc autoriser ces ports de communication pour
permettre au logiciel de télécharger la mise à jour. Il existe deux catégories de pare-feu :
Le pare-feu personnel est un logiciel installé sur les postes informatiques permettant de protéger
uniquement le système sur lequel il est installé. Windows, par exemple, en comporte un par défaut.
Le pare-feu réseau se présente sous forme de boîtier placé entre un accès externe et un réseau
d’entreprise.
Le mode de fonctionnement reste similaire pour les deux types de pare-feu. La figure 2.1 illustre le
fonctionnement d’un pare-feu.
8
2.2. Sécuriser les échanges de données.
Dès lors que vous souhaitez sécuriser l’envoi d’informations ou l’accès à distance aux
données de l’entreprise, il est recommandé de crypter les informations lors de leur transit. Pour
ce faire, on utilise couramment un certificat électronique.
Le certificat électronique est une carte d’identité numérique permettant de garantir
l’intégrité des informations et documents transmis et de s’assurer de l’identité de l’émetteur et
du récepteur de ces données. Il contient des informations sures :
L’autorité de certification qui a émis le certificat
Le certificat électronique (validité, longueur des clefs, …)
Le titulaire du certificat (nom, prénom, service, fonction) et son entreprise
(dénomination, n° …).
Le certificat électronique est délivré pour une durée déterminée par une Autorité de
Certification qui joue le rôle de Tiers de confiance. Cet organisme garantit l’identité de la
personne et l’usage des clés par une personne qui en est la seule propriétaire. De plus, elle
atteste de l’exactitude des informations contenues dans le certificat.
La liste des autorités de certification référencées par l’Etat est disponible sur le site du
ministère de l’Economie, de l’Industrie et de l’Emploi. Aller dans « recherche » et taper «
Certificats référencés PRIS v1 »
Lorsque les données transitent, elles sont cryptées. Le certificat électronique fonctionne
selon un principe de clé : l’émetteur et le récepteur des données disposent chacun d’une clé
publique, servant au chiffrement du message, et d’une clé privée, servant à déchiffrer le
message.
Le certificat numérique consiste à déterminer si une clé publique appartient réellement
à son détenteur supposé. Il peut être stocké sur un support logiciel ou matériel (une carte à
puce à insérer dans un lecteur de carte ou une clé USB). Le support matériel reste le plus sûr
car le certificat et la clé privée ne sont pas stockés sur un disque dur d’un ordinateur mais sur
un support que vous pouvez conserver en lieu sûr. Ceci présente de nombreux avantages:
Il est impossible de réaliser une copie de la carte ou de la clé USB.
9
Ce support est plus économique car il est accepté par toutes les télé procédures des
autorités administratives.
Il facilite la mobilité car utilisable depuis plusieurs postes de travail.
Le certificat électronique est de plus en plus utilisé, notamment dans le cadre des
procédures administratives à distance. Voici deux autres types d’usages en entreprise :
La signature électronique : Elle possède la même valeur juridique et la même fonction
qu’une signature manuscrite. Une différence notable les distingue cependant : alors
qu’une signature manuscrite peut être facilement imitée, une signature numérique est
pratiquement infalsifiable. La loi accorde d’ailleurs un statut particulier à la signature
électronique. La clé privée permet de signer et la clé publique de vérifier cette signature.
La signature électronique n’est pas visuelle mais est représentée par une suite de
nombres. Plusieurs logiciels (suite bureautique) supportent des outils de signature
électronique.
Le VPN pour Virtual Private Network et Réseau Privé Virtuel en français permet
d’accéder à la totalité des fichiers d’une entreprise en toute sécurité. Il donne accès au
réseau local d’une entreprise à distance via une connexion Internet sécurisée. Les
données qui transitent sont chiffrées grâce à une technique de « tunnel » et donc
inaccessibles aux autres internautes. Ce cryptage est rendu possible grâce à un certificat
électronique. Celui-ci fonctionne comme un passeport. Il doit être présent à la fois du
côté de l’ordinateur distant qui tente d’accéder aux fichiers de l’entreprise et du côté du
serveur. Chaque certificat dispose d’une clef publique et d’une clef privée. Lorsque
l’ordinateur distant tente d’accéder aux fichiers, il envoie sa clef publique au serveur. Si
celui-ci reconnaît le certificat de l’ordinateur distant, il envoie également sa clef
publique. La connexion VPN est alors établie (le tunnel est créé), les données qui
transitent entre les deux parties sont chiffrées et déchiffrées grâce aux certificats.
10
Figure 2.2 : Accès au serveur de fichiers à distance grâce à un VPN
11
CHAPITRE 3 : SECURITE DES SI LORS DES DEPLACEMENTS PROFESSIONNELS
SITUATION-PROBLEME : Sur un salon, un de nos collaborateurs n’a pas pris garde qu’on lui
dérobait sa clé USB pendant qu’il discutait avec un client. Or celle-ci contenait la liste de ses prospects.
Travailler en dehors de l’entreprise est aujourd’hui facilité par une pléiade d’outils et
d’applications. Désormais, il est possible se connecter à Internet presque partout sans fil, de transporter dans
sa poche des centaines de documents ou encore d’envoyer un contrat via un téléphone. Ces « outils de la
mobilité » engendrent toutefois de nouveaux risques pour le système d’information de l’entreprise, les plus
courants restant le vol et la perte d’un matériel contenant des données importantes (clé USB, smartphone,
ordinateur portable). Des règles de sécurité s’imposent donc pour utiliser ces outils sans danger.
Ce chapitre fournit des conseils pratiques sur les règles de vigilances pour utiliser les outils de la
mobilité au cours de déplacements professionnels. Les points clés à retenir sont :
Eviter de divulguer oralement ou par écrit des informations stratégiques dans les lieux publics (hôtels,
salons, congrès, …) et les transports en commun.
Rester discret sur les projets de l’entreprise envers les prospects, les clients, les fournisseurs et plus
généralement dès que l’on se trouve en dehors de l’entreprise.
Ne pas se déplacer à l’extérieur de l’entreprise avec des documents confidentiels. Au besoin, utiliser une
clé USB ou des accès VPN (Virtual Private Network) sécurisés.
Garder toujours en sa possession les périphériques de stockage amovible (disques durs externes, clés USB).
Ne jamais laisser sans surveillance du matériel (ordinateur portable, téléphone portable, agenda, carte de
visite client et fournisseur) ou des documents professionnels.
3.1. Une attitude vigilante
Il est conseillé pendant vos déplacements, de rester vigilant et d’observer quelques principes parmi lesquels :
Etre attentif aux personnes qui vous entourent et à leurs actions.
12
3.2. Protection des accès aux données
Si, malgré votre vigilance, votre matériel est volé ou perdu, veillez à verrouillez l’accès à vos données.
Plusieurs possibilités s’offrent à vous :
Mettre en place un dispositif d’authentification de l’utilisateur lors de la mise en marche des
ordinateurs portables (mot de passe ou système de reconnaissance biométrique comme l’empreinte
digitale).
Crypter les données du disque dur des ordinateurs portables.
Privilégier l’utilisation de supports amovibles cryptés et facilement transportables (comme une clé
USB) pour emporter l’ensemble des documents confidentiels.
Il est à préciser que dans certains pays (USA, Israël, Chine…), des informations confidentielles peuvent être
demandées et les disques durs contrôlés par le service de sécurité dans le cadre de la politique de défense des
services de l’Etat. C’est pourquoi un cryptage des données n’est pas superflu.
13
Paramétrer l’accessibilité du Bluetooth en mode non détectable (seules les personnes à qui vous avez
transmis l’identifiant de votre appareil pourront communiquer avec vous).
Appliquer les dernières mises à jour de sécurité.
c. Pour téléphoner
Le faible niveau de sécurité des téléphones GSM et des PDA ainsi que leur totale traçabilité doivent
être pris en compte par les utilisateurs. Restez vigilant quand vous emportez des documents professionnels
accessibles depuis votre téléphone portable car il est beaucoup plus facilement perdu ou volé. De plus, il existe
des systèmes d’interception des appels via des logiciels disponibles sur Internet qui permettent de mettre sur
écoute une communication téléphonique à distance.
14
CHAPITRE 4 : GESTION DU COURRIER ELECTRONIQUE INDESIRABLE
SITUATION-PROBLEME : Chaque jour, les collaborateurs perdent du temps à faire le tri entre les
messages électroniques sollicités et les spams. Les gains de productivité de la communication par email
s’amoindrissent de plus en plus.
Le courrier électronique est aujourd’hui largement utilisé dans les entreprises. Le nombre croissant
d’emails publicitaires ou malveillants rend néanmoins sa gestion problématique. Ces courriers électroniques
non sollicités portent le nom de spams ou pourriels. Ils représentent près de 50% du trafic quotidien d’emails.
Ce chapitre vous aidera à mieux gérer et sécuriser votre messagerie électronique. Les points clés à retenir
sont :
Utiliser un anti-spam
Se méfier des adresses électroniques d’expéditeurs inconnus et ne pas ouvrir les courriers électroniques
douteux (sujet du message sans intérêt).
Ne pas diffuser son adresse électronique à n’importe qui ou sur un site internet où elle peut être récupérée
très facilement.
Paramétrer la messagerie électronique pour désactiver l’ouverture automatique des pièces jointes et des
images.
Sensibiliser le personnel aux risques : virus, phishing…
Ne jamais répondre à un spam.
4.1. Les spams
A l’origine, « SPAM » est la marque déposée d’une conserve de jambon épicée « SPiced hAM »,
consommée en très grande quantité par les américains lors de la seconde guerre mondiale et redevenue
populaire grâce aux Monthy Pythons en 1970. En 1994, un internaute excédé utilise ce terme pour la 1ère fois
sur Internet pour dénoncer la première pratique de SPAM de l’histoire.
Le spam consiste à envoyer massivement des emails non sollicités à des fins marchandes (vente de
médicaments par exemple) ou malveillantes (récupération d’adresse emails valides, propagation de virus). Ce
type de courrier électronique n’est généralement pas ciblé mais envoyé à une multitude de destinataires par
l’intermédiaire de serveurs automatisés.
Un exemple de spam très répandu est ce que l’on qualifie de phishing. Ce dernier, encore appelé
hameçonnage est l’association d’un e-mail non sollicité (spam) avec un lien vers un site internet illégal
reproduisant l’allure visuelle d’un site commercial et incitant l’internaute à y inscrire des informations
personnelles. Ce type de spam, très construit et ciblé, est utilisé par des personnes malveillantes dans le but
d’obtenir notamment des informations bancaires et d’effectuer des paiements frauduleux. Pour mieux se
protéger des phishing il est conseillé de :
Ne jamais envoyer par mail des informations confidentielles (mot de passe, numéro de carte de
crédit…)
15
Être vigilant lorsqu’un e-mail demande des actions urgentes.
Ne pas cliquer sur les liens contenus dans les courriers électroniques : les liens affichés peuvent en
réalité vous diriger vers des sites frauduleux.
Utiliser les filtres du navigateur Internet contre le phishing. La plupart des navigateurs proposent une
fonction d’alerte contre le spam, fonction régulièrement mise à jour.
4.2. Les impacts du spam
La saturation du réseau ou des serveurs de messagerie de l’entreprise.
Des risques de blocage de l’adresse IP de l’entreprise par les fournisseurs d’accès Internet si l’adresse
de l’entreprise est usurpée par un spammeur.
Le gaspillage de la bande passante et de l’espace de stockage des utilisateurs.
La dégradation de l’image de l’entreprise si l’adresse de l’entreprise est usurpée par un spammeur.
La perte de productivité des employés qui risquent de surcroit de passer à côté d’emails importants.
4.3. Protection contre les spams
Pour éviter d’être spammé :
Ne jamais répondre à un message dont l’objet ou l’expéditeur est douteux.
Ne pas diffuser son adresse sur le web (dans des forums ou des sites par exemple).
Créer une ou plusieurs « adresses poubelles » servant uniquement à vous inscrire ou vous identifier sur
les sites jugés dignes de confiance.
Sur son site Internet, crypter les adresses de la page contact.
Paramétrer la messagerie électronique pour désactiver l’ouverture automatique des pièces jointes et
des images. Dans la mesure du possible, désactiver la fonction de prévisualisation systématique des images
contenues dans les courriers électroniques.
Ne pas ouvrir les pièces jointes de messages douteux.
Ne jamais ouvrir une pièce jointe avec l’extension .exe ou .src, car ce sont des fichiers exécutables
pouvant infecter l’ordinateur.
Il est conseillé de mettre en place un anti spam, Il existe différents types de logiciels anti-spam. Vous
pouvez en choisir un seul ou en cumuler plusieurs. Pour les entreprises possédant moins de 500 postes
informatiques, 3 types d’outils sont conseillés :
Les outils clients : il s’agit de logiciels installés sur chaque poste informatique.
Les outils serveurs : les messages reçus sont filtrés dès leur arrivée dans le serveur de messagerie
avant d’être remis au destinataire.
Les solutions hébergées : dans ce cas, l’analyse anti-spam intervient avant que le message n’arrive
dans le serveur de messagerie. Le filtrage peut être réalisé par le fournisseur d’accès ou par une analyse anti-
spam externalisée.
16
Dans ce dernier cas, les messages sont redirigés vers une société qui filtre les messages entrants avant
de les transmettre au serveur de messagerie de l’entreprise. Le principe de fonctionnement d’un logiciel anti-
spam hébergé est illustré par la figure 4.1.
18
CHAPITRE 5 : SAUVEGARDE DES DONNEES NUMERIQUES
SITUATION-PROBLEME : Un incendie s’est déclaré pendant la nuit dans le local où était stocké notre
serveur. Malheureusement, c’était aussi dans cette pièce que nous entreposions les supports de
sauvegarde.
La sauvegarde informatique est en quelque sorte l’assurance vie du capital informationnel de
l’entreprise. Elle permet de restaurer des données perdues ou altérées et participe ainsi à garantir la continuité
de l’activité. C’est pourquoi la sauvegarde des données numériques nécessite une gestion méthodique et
contrôlée. Ce chapitre vous aidera à élaborer un plan de sauvegarde adapté à votre entreprise et adopter les
bons réflexes pour conserver vos données numériques. Les points clés à retenir sont :
Définir une fréquence de sauvegarde adaptée à l’importance des données.
Stocker les supports de sauvegarde dans un lieu sécurisé (armoire ignifugée étanche, coffre fort, site
externe).
Installer les serveurs dans un local fermé à clé.
Vérifier régulièrement le bon fonctionnement des dispositifs et procédures de sauvegarde.
Transporter régulièrement des copies de sauvegarde en dehors de l’entreprise.
Si possible :
Aménager un site de secours pour les applications vitales.
Dupliquer les sauvegardes et répartir les informations sensibles sur plusieurs supports.
5.1. Etablir un état des lieux des données à sauvegarder
Il s’agit, dans un premier temps, de faire l’inventaire des données de l’entreprise : fichiers, base de
données, emails, etc. Puis, les informations stratégiques devront être identifiées car une attention particulière
devra leur être portée en matière de fréquence et de support de sauvegarde.
Enfin, il convient de distinguer les données hébergées par l’entreprise et celles hébergées par un tiers.
Dans le cas où le stockage des informations est à la charge d’un prestataire informatique (ex : pages d’un site
Internet), vérifiez les conditions d’hébergement et de sauvegarde des données.
5.2. Choisir le type de sauvegarde
Il existe plusieurs types de sauvegarde parmi lesquels :
La sauvegarde complète
Elle permet de réaliser une copie conforme des données à sauvegarder sur un support de sauvegarde séparé.
Avantages Inconvénients
Sauvegarde très sûre, plus précise et plus simple pour Problème de lenteur et de temps en cas
restaurer les données sans erreur. d’importants volumes de données à sauvegarder.
19
Avantages Inconvénients
Sauvegarde plus performante et plus rapide des Le temps d’analyse des modifications.
dernières modifications qu’une sauvegarde complète. Le risque lors de la restauration des données.
Espace de stockage plus faible.
La sauvegarde différentielle
Elle permet de sauvegarder toutes les informations modifiées ou ajoutées depuis la dernière sauvegarde
complète.
Avantages Inconvénients
Sauvegarde plus rapide que la sauvegarde complète. Prend plus de temps que la sauvegarde incrémentale.
Données moins volumineuses. Plus coûteuse en espace de stockage.
Plus fiable que la sauvegarde incrémentale. Pas de rémanence (ne restaure que le dernier état d’un
fichier).
5.3. Choisir la fréquence des sauvegardes
La périodicité et la durée des sauvegardes dépendent de plusieurs facteurs tels que le volume de
données ; la vitesse d’évolution des données ; la quantité d’information que l’on accepte de perdre et
éventuellement, la durée légale de conservation de l’information (ex : facture). C’est pourquoi, selon les
entreprises, la stratégie de sauvegarde sera différente. Voici un exemple de stratégie de sauvegarde :
Fréquence de sauvegarde:
Une sauvegarde complète dans la nuit du vendredi au samedi pour ne pas gêner l’activité de l’entreprise.
Une sauvegarde incrémentale les autres nuits.
Une sauvegarde système (serveurs et applications de production) une fois par mois.
Le support de sauvegarde journalière du lundi au jeudi est doublé et utilisé par alternance toutes les deux
semaines.
Délai de conservation des sauvegardes :
Le support du vendredi est conservé 1 mois comme sauvegarde hebdomadaire.
Le support du dernier vendredi du mois est conservé 1 an comme sauvegarde mensuelle.
Le support du dernier vendredi de l’année est conservé sans limitation de durée comme sauvegarde
annuelle.
Des sauvegardes spécifiques peuvent être réalisées en parallèle pour des données sensibles comme
les données financières de l’entreprise et conservées suivant les obligations légales (s’assurer que les
applications ayant générées ces données soient également accessibles).
5.4. Choisir le support de sauvegarde
Une sauvegarde peut être locale ou distante. Lorsqu’elle est interne, elle est faite sur :
Des supports de petit volume de stockage tels que DVD, clé USB, disque dur externe. Pour les
opérations quotidiennes, utiliser le disque dur externe est simple, rapide et fiable. Si votre entreprise
possède seulement quelques postes informatiques, vous pouvez programmer les sauvegardes directement
sur votre ordinateur. Ce type de sauvegarde est préconisé pour des quantités d´information assez faibles.
20
Le principe consiste à sélectionner les fichiers à sauvegarder poste par poste puis de procéder à leur
sauvegarde.
Des bandes magnétiques ou cartouches numériques. Ces supports sont utilisés pour la sauvegarde de
données stockées sur un serveur. Ils s’utilisent avec une application dédiée qui programme, gère et teste
les enregistrements. Les coûts matériels sont relativement faibles. En revanche, les sauvegardes réalisées
ne se faisant pas toujours en temps réel, il y a un risque de perte de d’information. Par ailleurs, la
restauration de données nécessite également des compétences techniques.
Sur le serveur du réseau interne de l’entreprise Il s’agit de réserver un espace dédié à la sauvegarde sur
le disque dur du serveur. Toutefois, préférez les modèles proposant une version amovible de ce disque
dur de secours afin d’éviter qu’en cas de sinistre, le serveur et sa sauvegarde ne soient détruits.
Par ailleurs, il est possible de configurer le serveur pour que l’espace dédié à la sauvegarde soit une
copie exacte en temps réel du disque dur principal. Il est nécessaire de veiller à bien sécuriser le local dédié
aux supports de sauvegarde. Dans l’idéal, il est préférable de les stocker en dehors de l’entreprise.
Lorsqu’elle est distante, elle consiste à sous-traiter la sauvegarde des données à un prestataire
spécialisé dans l’hébergement. Cette solution offre l’avantage de ne plus avoir à gérer le support physique des
sauvegardes ou la charge de travail associée, car ils sont externalisés via un réseau haut débit.
Toutefois, des risques associés à de mauvaises sauvegardes subsistent. Il est d’ailleurs nécessaire de
bien définir les données à sauvegarder, leur dimensionnement et s’assurer que les sauvegardes sont bien
réalisées.
Par ailleurs, le choix d’une solution de sauvegarde à distance doit être associé à une lecture attentive
des contrats de service. Il convient de s’assurer qu’en cas de problème, la prestation soit efficace. Il est
d’ailleurs intéressant de procéder à un test préalable afin de voir concrètement les fonctionnalités et
performances de cette solution. Il est également recommandé de vérifier la santé financière de ce prestataire
stratégique et la présence d’un cryptage des données sauvegardées par ses soins.
5.5. Tester l’intégrité des données
Afin de s’assurer du bon fonctionnement des sauvegardes, des tests réguliers d’intégrité et de
restauration des données doivent être réalisés pour détecter d’éventuelles anomalies (erreur d’application ou
support saturé). Le test de restauration consiste à simuler un sinistre et à utiliser des sauvegardes pour que
l’entreprise puisse reprendre son activité. Une vérification partielle permet de tester uniquement les fichiers
les plus importants alors qu’une vérification complète permet de tester l’ensemble des fichiers.
21
CHAPITRE 6 : DROITS ET OBLIGATIONS D’UN CHEF D’ENTREPRISE EN MATIERE DE SI
SITUATION-PROBLEME : Nous avons envoyé un e-mailing pour faire connaître notre nouveau produit
à une liste de contacts fournie gracieusement par un partenaire. L’un des destinataires, mécontent de
recevoir notre publicité, nous a menacés de porter plainte.
Aujourd’hui, tous les chefs d’entreprises sont soumis à diverses réglementations. Ces obligations
valent également en matière de sécurité informatique. Ils doivent donc être en mesure de respecter et de faire
respecter certaines obligations légales au sein de l’entreprise pour éviter que leur responsabilité civile et/ou
pénale et celle de leur entreprise ne soit engagée, y compris en cas de négligence de leur part. En contrepartie,
ce cadre juridique permet aux entreprises de se défendre en cas d’attaque sur leur système d’information ou
de négligence interne. Ce chapitre vous présentera les principales dispositions juridiques à appliquer en
matière de sécurité informatique. Les points clés à retenir sont :
Prévoir des moyens de traçabilité et de conservation des connexions au réseau.
Informer les salariés de leurs droits et obligations au moyen d’une charte informatique pertinente.
Organiser une surveillance du réseau informatique de l’entreprise en respectant les droits des salariés.
Mettre l’entreprise en conformité avec la législation relative à la protection des données à caractère
personnel.
Vérifier périodiquement la validité des licences logicielles pour éviter toute contrefaçon.
6.1. Les obligations légales
22
caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de leurs
droits et les transmissions envisagées des données à un tiers.
▪ Ne pas réutiliser ces données de manière incompatible avec la finalité première du fichier (ex : céder
des adresses emails à un partenaire sans demander leur avis aux propriétaires de ces adresses).
▪ Ne pas collecter des données sensibles (origines raciales ou ethniques, opinions politiques,
philosophiques ou religieuses, appartenance syndicale, données relatives à la vie sexuelle ou à la santé).
▪ Fixer une durée de conservation raisonnable (ou maximale ?) de ces données personnelles.
▪ Protéger et sécuriser l’accès aux fichiers de données personnelles.
Afin de se protéger de façon optimale en respectant la loi, il est recommandé de désigner un expert en
droit des TICs au sein de l’entreprise. Cette personne, régulièrement avisée des modifications règlementaires,
tient un registre exhaustif de l’ensemble des traitements en cours dans l’entreprise. Cet expert est en outre
chargé de sensibiliser les salariés pour éviter que l’entreprise ne soit mise en cause civilement ou pénalement
du fait d’un comportement inapproprié d’un de ses salariés.
Le courrier électronique est considéré comme de la correspondance privée dont le contenu est, par
nature, accessible uniquement à son destinataire. Cependant, les messages électroniques envoyés ou reçus sur
l’ordinateur de l’entreprise sont présumés être à caractère professionnel, sauf mention explicite de leur
caractère personnel. Sauf risque ou évènement particulier, les messages personnels ne peuvent être ouverts
par l’employeur, si le salarié n’est pas présent ou dûment appelé. Par contre, l’employeur peut rechercher,
même à l’insu du salarié et hors sa présence, les connexions à des sites internet étrangers à son travail.
La responsabilité de l’entreprise peut être engagée dans les cas suivants :
L’utilisation malveillante des moyens informatiques et de communication électroniques.
Le téléchargement et la réutilisation de documents non libres de droits.
La contrefaçon ou utilisation de copies illicites de logiciels ou d’œuvres protégées sans autorisation des
titulaires de droits.
L’usurpation d’identité par un des salariés au préjudice de tiers.
6.2. Les droits vis-à-vis des actes malveillants
23
Si votre entreprise est victime de vol ou d’altération de votre système d’information, il existe des recours.
Vous pouvez déposer une plainte pénale auprès du commissariat de police ou de la gendarmerie. Les faits y
seront précisément exposés, en incluant tout détail utile sur l’origine de l’attaque et les dommages causés.
C’est pourquoi il est primordial de ne pas effacer les traces d’une éventuelle infraction et de conserver les
preuves susceptibles d’aider l’action en justice : logs de connexion, copie de disque dur etc. Il est également
recommandé de faire appel à un huissier de justice spécialisé en fraude informatique pour établir un procès-
verbal de constat, puis de décider avec le conseil d’un avocat des actions les plus appropriées. Vous pouvez
aussi informer l’ANTIC (Agence National des Technologies de l’Information et de la Communication).
En complément du contrat de travail et du règlement intérieur, il est fortement conseillé d’élaborer une
charte de sécurité informatique afin d’organiser un bon usage du système d’information par tous. Cette
charte fixe à l’ensemble du personnel un cadre général et définit des règles pour l’usage des technologies de
l’information et de la communication dans l’entreprise. Elle permet ainsi de fournir des garanties et de
délimiter les responsabilités de chacun. La charte doit traiter des thématiques suivantes :
24
CHAPITRE 7 : GESTION ET CONTROLE D’ACCES AUX DONNES DE L’ENTREPRISE
SITUATION-PROBLEME : Nous avions sous-traité la gestion complète de notre site Internet à notre
prestataire. Lorsque celui-ci a déposé le bilan, nous n’avons rien pu récupérer. Nous avons dû refinancer
intégralement le développement d’un nouveau site. Cet employé de bureau a pu copier l’ensemble du fichier
client de l’entreprise pour le revendre à un concurrent. Il fut licencié, mais cela n’empêcha pas le préjudice.
L’externalisation consiste à confier tout ou partie de la gestion d’une activité de l’entreprise à un
prestataire externe spécialisé. Pour des raisons de coûts ou d’absence de compétences internes, nombre de
PMI-PME ont recours à cette pratique. L’externalisation peut s’appliquer à plusieurs domaines d’activités
(ressources humaines, marketing, administratif, financier…). Lorsqu’une entreprise sous-traite la
maintenance de son infrastructure informatique, on parle d’infogérance. Mais quelque soit l’activité sous-
traitée, l’externalisation présente des risques pour le système d’information de l’entreprise car une partie
n’est plus sous son contrôle direct. Il est donc nécessaire de rester vigilant quant au choix d’un prestataire et
aux termes du contrat avec celui-ci.
Afin d’éviter les actes malveillants externes et d’éventuelles maladresses en interne, des contrôles
d’accès performants aux systèmes informatiques sont essentiels pour assurer une sécurité optimale. Ces
contrôles consistent à surveiller à la fois les accès logiques et physiques aux ressources informatiques de
l’entreprise. Il n’est pas nécessaire que tout utilisateur puisse disposer de l’ensemble des ressources
disponibles. Des limites doivent donc être définies en adéquation avec le poste de chaque collaborateur.
Ce chapitre vous donne des conseils pratiques pour externaliser tout ou partie de votre activité en
sécurisant la relation avec votre prestataire d’une part et vous donnera les clés de la mise en place d’un
contrôle des accès efficace tant au niveau physique qu’au niveau logique (système informatique) d’autre
part.
25
Afin de s’assurer de prendre la décision la plus appropriée, il est important d’évaluer l’ensemble des
avantages et inconvénients de l’externalisation d’une activité. Comme avantages de l’externalisation, on
peut citer entre autre :
27
Une procédure d’identification pour les personnes externes (clients, fournisseurs, prestataires). Dans
l’idéal, elle doit être instaurée en tenant un registre précisant la nature et les horaires des visites. Il est par
ailleurs fortement recommandé d’accompagner les visiteurs le temps de leur présence dans l’entreprise.
Un verrouillage systématique des zones sensibles. Elles doivent être équipées de serrures de sûreté et
accessibles uniquement aux personnels autorisés.
Enfin, pour un maximum de prévention, vous pouvez installer un système d’alarme, de vidéo
surveillance, de lecture d’empreintes digitales ou encore engager des agents de sécurité.
b. Gérer les contrôles d’accès aux ressources informationnelles
Cette gestion implique deux types de contrôle à savoir : Vérifier que seul le personnel de l’entreprise peut
accéder aux ressources internes et Vérifier que seuls les salariés autorisés accèdent aux informations sensibles
de l’entreprise.
L’authentification des utilisateurs
Les contrôles d’accès passent par un protocole d’authentification qui garantit au système informatique
l’identité de l’utilisateur. Le système le plus répandu demeure le contrôle d’accès par mot de passe mais
d’autres types d’authentification existent comme la lecture d’empreinte digitale (sur un ordinateur portable
par exemple) ou l’utilisation d’un certificat électronique (cf. chap2). L’accès à des données est d’autant plus
sécurisé que plusieurs systèmes d’authentification sont associés.
Le contrôle d’accès par mot de passe
Il consiste à configurer les postes informatiques des utilisateurs (verrouillage par mot de passe) et à
installer un serveur d’authentification. Cette manipulation doit être effectuée par un spécialiste.
Il s’agit ensuite d’attribuer à chaque utilisateur un compte comportant un identifiant fourni par le responsable
informatique et un mot de passe personnel. Lors du processus d’authentification, l’utilisateur saisit le couple
identifiant / mot de passe et le serveur d’authentification vérifie s’il est identique à celui enregistré dans sa
base de données sécurisée.
Etablir un mot de passe sécurisé
Les pirates informatiques disposent de logiciels très performants capables de tester très rapidement une série
de combinaisons de caractères. Un mot de passe fiable est un mot de passe complexe. Voici quelques
recommandations pour établir un mot de passe sécurisé:
Il doit être composé d’au moins 8 caractères combinant chiffres, lettres, minuscules, majuscules et
caractères spéciaux. Au besoin, des systèmes permettent de contraindre l’utilisateur à intégrer ces règles.
Il doit être facile à retenir en utilisant des moyens mnémotechniques tels que la méthode des premières
lettres (qui consiste à prendre la première lettre de chaque mot d’une expression) ou la méthode
phonétique (phrase codée phonétiquement : ght1CDà15F, j’ai acheté un CD à 15F). En cas d’oubli du
mot de passe, il est possible d’en simplifier la réinitialisation en désignant un interlocuteur dédié et
facilement joignable.
28
Il ne doit pas s’agir d’un mot présent dans le dictionnaire.
Il faut le renouveler périodiquement (au moins tous les ans et plus s’il donne accès à des données
sensibles). Cela implique la mise en place d’une procédure donnant une durée de validité maximale au
mot de passe.
Le mot de passe ne doit pas être en lien avec une information personnelle (date de naissance, nom…).
Il ne doit être écrit nulle part (Attention au postit sur l’écran d’ordinateur ou sous le clavier).
Il est nécessaire de sensibiliser l’ensemble du personnel à ces usages. Des sanctions peuvent être
appliquées par l’entreprise en cas de non-respect des règles par les utilisateurs.
On se méfie plus facilement d’une personne externe que d’un collaborateur qui quitte l’entreprise.
Il n’est pourtant pas rare que ce dernier ait pris soin de copier des informations importantes avant son départ.
Idéalement, chaque entreprise devrait disposer d’une procédure d’entrée et de sortie pour gérer en temps réel
la création et la suppression des comptes utilisateurs. L’administrateur système devrait être informé
immédiatement de l’arrivée ou du départ définitif d’un salarié. En l’absence de procédures, il convient de
vérifier régulièrement que tous les comptes ouverts sont encore d’actualité et de fermer ceux qui sont
inutilisés.
Gestion des comptes des stagiaires
Le cas du stagiaire est souvent traité avec moins d’attention que celui du salarié. A son arrivée, son
compte est créé rapidement sans exclure les informations auxquelles il ne doit pas accéder et lorsqu’il part,
son compte n’est pas automatiquement supprimé. Voici quelques recommandations :
Avant le stage
Examiner en détail le Curriculum Vitae et recueillir toute information utile sur le candidat (stage précédent
chez un concurrent).
Définir les missions de stage et faire signer une clause de confidentialité si nécessaire.
29
Refuser explicitement la diffusion sur Internet du futur rapport de stage. Désigner un tuteur.
Pendant le stage
Veiller au respect des horaires du stagiaire et des lieux auxquels il aura accès.
Déterminer un accès restreint aux ressources de l’entreprise et surveiller, en cas de doute, son activité sur le
réseau informatique et son utilisation de la photocopieuse.
Répondre aux questions du stagiaire uniquement si cela correspond à son domaine de compétences. Ainsi,
un stagiaire en marketing n’a pas à connaitre toutes la procédure de sauvegarde de l’entreprise.
Proscrire l’utilisation de son matériel personnel (clé USB, ordinateur portable).
Après le stage
Vérifier de manière approfondie l’ensemble des travaux du stagiaire pour filtrer les données jugées
stratégiques.
Supprimer ses droits d’accès et récupérer son badge et ses clés.
30
CHAPITRE 8 : PRISE EN COMPTE ET MAITRISE DU FACTEUR HUMAIN DANS LA SSI
SITUATION-PROBLEME : Pour plus de sécurité, nous avions choisi de changer le mot de passe des
utilisateurs tous les 6 mois. Mais cela n’a pas duré longtemps car les collaborateurs écrivaient leur code
sur un papier qu’ils cachaient dans leur tiroir ou sous leur clavier. Finalement cette mesure a créé des
risques supplémentaires au lieu de mieux protéger notre système d’information.
Même avec les meilleurs outils existants en matière de sécurité informatique, le système d’information
d’une entreprise peut devenir perméable si l’entreprise ne maîtrise pas le facteur humain. En effet, le personnel
fait partie intégrante du SI. Il en est même un maillon essentiel. Chaque salarié ayant accès à tout ou partie du
patrimoine informationnel, il est important qu’il ait conscience de la sensibilité et de la vulnérabilité des
informations et qu’il respecte quotidiennement les règles internes de sécurité. Ce chapitre vous explique
comment sensibiliser le personnel à la sécurité informatique et pourquoi nommer un responsable dans ce
domaine. Les points clés à retenir sont :
Intégrer la protection de l’information dans la communication globale de l’entreprise.
Sensibiliser, former, impliquer et responsabiliser le personnel à tous les niveaux.
Communiquer sur la stratégie et les actions prévues en matière de sécurité, en insistant largement sur les
bénéfices d’une telle démarche afin d’éviter les potentielles résistances aux changements.
Assurer le responsable sécurité du soutien indispensable de la hiérarchie.
Eviter que l’entreprise attende les problèmes pour agir, il est souvent déjà trop tard.
Mettre en place des solutions réalistes et adaptées en fonction des risques encourus par l’entreprise.
31
8.2. Sensibiliser et former le personnel à la SSI
Il s’agit de mener régulièrement des actions d’information et de sensibilisation auprès du personnel pour
lui faire comprendre les enjeux de la SSI. Ces actions facilitent l’acceptation et l’application de règles qui
peuvent parfois paraître contraignantes. L’objectif est de transmettre un premier niveau de connaissance et de
diffuser les bonnes pratiques concernant la sécurité informatique. Tout utilisateur doit :
Avoir eu connaissance de la charte informatique et l’appliquer.
Connaître la démarche à suivre en cas de problème de sécurité informatique (personne à contacter).
Etre en mesure de juger de la sensibilité d’une information.
Connaître son périmètre d’accès à l’information.
Les actions de sensibilisation peuvent se faire à travers :
Des discussions informelles entre employés et responsables SSI.
Des notes d’information (emails courts et pratiques).
De l’affichage dans les zones sensibles (photocopieurs, bureau de recherche et développement).
Des réunions thématiques régulières.
Des séances de formation
Les supports utilisés dans le cadre d’actions de sensibilisation à la SSI doivent être simples, ludiques
et interactifs afin d’assurer l’efficacité des messages et de susciter l’intérêt du plus grand nombre.
L’introduction de nouvelles pratiques peut générer certaines résistances aux changements. Il est alors conseillé
d’axer le discours de sensibilisation sur les avantages qu’apporte la SSI pour garantir l’activité de l’entreprise.
Par ailleurs, il convient de contrôler régulièrement le respect par le personnel des règles et sa connaissance
des dispositions pratiques inscrites dans le règlement intérieur. Des mesures incitatives peuvent aussi être
envisagées. Généralement, les actions de sensibilisation se font en complément d’une démarche de diffusion
de la charte informatique interne. Enfin, les règles seront d’autant plus prises au sérieux si les responsables
les respectent eux-mêmes de manière exemplaire.
32
CHAPITRE 9 : USAGE DES RESEAUX SOCIAUX DANS L’ENTREPRISE
SITUATION-PROBLEME : Un de nos anciens stagiaires cherchait du travail. Souhaitant se valoriser
sur un réseau social, il a dévoilé notre plan marketing sur lequel il avait travaillé.
Les réseaux sociaux (ou social networking) sont des sites communautaires d‘échange et de partage
entre des individus. Ils permettent essentiellement de mettre en relation des personnes partageant les mêmes
centres d’intérêt personnels ou professionnels. Parmi les réseaux sociaux les plus connus à destination des
professionnels, Viadeo (Europe) et LinkedIn (international) sont les plus connus. Facebook et MySpace sont
plutôt des plateformes d’échanges grand public même si elles sont aussi utilisées par des professionnels pour
y faire du marketing communautaire (community management). Le principe de fonctionnement d’un réseau
social est simple. Il suffit de se créer un profil utilisateur et de suivre l’actualité des membres. Le contenu
étant intégralement produit par l’internaute, chacun est responsable des informations qu’il publie. Ce
phénomène est encore mal compris pour la majorité des entreprises et donc peu contrôlé. Or, les réseaux
sociaux représentent un risque de fuite d’informations stratégiques et de perte de réputation pour l’entreprise.
Ce chapitre vous informe sur les risques liés à l’usage des réseaux sociaux par les salariés. Les points clés à
retenir sont :
Etre vigilant et curieux : surveiller en permanence ce qui se dit sur vous et votre entreprise sur Internet.
Etre un membre impliqué et avoir une démarche active au sein du réseau social.
Former et sensibiliser le personnel à une utilisation sécurisée des réseaux sociaux.
9.1. Les risques liés aux réseaux sociaux pour l’entreprise
De nombreux problèmes peuvent survenir en cas d’utilisation non maitrisée des plateformes sociales.
L’usurpation par une personne malveillante de l’identité d’un utilisateur de réseaux sociaux délivrant
un nombre important d’informations dans son profil. Donner des informations personnelles peut
notamment fournir une indication permettant de deviner un mot de passe.
La divulgation sur un réseau social par un salarié d’informations stratégiques.
Le dénigrement de l’entreprise par un salarié mécontent ce qui représente donc une perte de réputation
pour la société.
L’infection du système d’information par un virus via l’installation d’applications tierces sur un
ordinateur de l’entreprise.
C’est pourquoi il est indispensable de maîtriser la diffusion de l’information et, de ce fait, de ne jamais
communiquer des données à caractère stratégique ou trop personnelles sur les réseaux sociaux.
Demander aux salariés d’utiliser un mot de passe différent pour accéder au réseau social et aux applications
de l’entreprise.
Définir une ligne de conduite conforme aux principes et à l’éthique de l’entreprise afin de sensibiliser les
employés aux risques éventuels liés à l’utilisation des réseaux sociaux.
Réagir rapidement en cas de découverte de propos malveillants ou diffamatoires sur des plateformes
sociales. Cela peut se faire aisément en contactant la direction ou l’hébergeur du site concerné.
34